Attacco alla RSA Security

RSA Security è una divisione della EMC Corporation fondata nel 1982 con l’intendo di progettare i migliori sistemi di protezione di dati personali ed aziendali, il nome deriva dall’omonimo sistema crittografico nato nel 1976 dai due ingegneri Whitfield Diffie e Martin Hellman.

Il loro prodotto più diffuso è sicuramente la SecurID, ovvero una chiavetta OTP (One Time Password ) sfruttata principalmente per l’accesso online agli Istituti Bancari ma anche alle infrastrutture aziendali. La SecurID genera una password composta da sei numeri ogni sessanta secondi e visualizzabile attraverso un piccolo schermo posto sulla chiavetta.

Il funzionamento dei SecurID si riassume attraverso i seguenti tre elementi:

  • RSA Authentication Manager: ha il compito di verificare i dati immessi dall’utente;
  • RSA Agent: si installa sulle risorse da proteggere, creando un sottolivello di sicurezza che permette il colloquio con l’Authentication Manager;
  • Tokens: generano i codici numerici denominati Tokencode sincronizzati temporalmente con l’Authentication Manager.

Durante la fase di login l’utente dovrà digitare il Tokencode visualizzato sul display della chiavetta in quale dovrà corrispondere a quello generato dal RSA Authentication Manager, se i dati corrispondono RSA Agent procede ad abilitare l’utente consentendoli l’accesso alle risorse richieste. Importante precisare che per il corretto funzionamento il token e server devono essere perfettamente allineati con il clock UTC, infatti calcoleranno nel medesimo istante lo stesso codice.

Art Coviello, Chief Executive Officer della RSA, attraverso un comunicato stampa ha reso noto che la propria società è rimasta vittima di un sofisticato attacco informatico finalizzato al furto di dati sensibili e del tipo APT (Advanced Persistent Threat), per colpire l’azienda è stato effettuato un Spear Phishing collegato ad una falla 0-Day di Adobe Flash Player.

Lo Spear Phishing non è un attacco generico di Phishing ma è mirato ad un obbiettivo ben preciso e lascia intendere che il mittente sia una persona conosciuta (amico, famigliare, collega o datore di lavoro) abbassando notevolmente la guardia del bersaglio. In realtà le informazioni sul mittente vengono falsificate o ricavate tramite “spoofing”, mentre il phishing tradizionale si propone lo scopo di sottrarre informazioni da singoli utenti le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all’interno del sistema informatico di una società e realizzare un attacco di tipo APT.

Uri Rivner, capo delle nuove tecnologie della RSA, ha rilevato nel suo Blog che l’attacco è accaduto principalmente in tre fasi.
Nella prima fase l’attaccante ha inviato a due piccoli gruppi di dipendenti una eMail con oggetto “Piano di Assunzioni 2011” contenente un file Excell, un dipendente incuriosito ha aperto l’allegato il quale realmente conteneva un malware che ha sfruttato la falla 0-Day di Adobe Flash Player per installarsi sul terminale.
Successivamente l’attaccante ha iniziato la scalata verso gli account più importanti della RSA Security, sfruttando il terminale compromesso ha rubato credenziali di accesso e si è propagato a macchia d’olio in
tutta l’infrastruttura aziendale. Sembrerebbe che le credenziali d’accesso di ogni singolo utente siano utilizzabili su molti terminali della società e non esclusivamente nel terminale in uso dal dipendente, questo ha permesso all’attaccante di identificarsi con le credenziali dell’utente di basso livello (dipendente) nei terminali dei diversi responsabili aziendali rubando ulteriori password e materiale importante.
La terza e ultima fase ha visto l’invio di tutti i documenti rubati ad un computer esterno presso un Hosting Provider, in precedenza violato, dal quale l’attaccante ha recuperato i dati eliminando quasi tutte le tracce.
Brian Krebs, famoso giornalista Americano sul CyberCrime, ha dichiarato che sarebbero stati identificati tre indirizzi IP sfruttati per l’intrusione uno dei quali proveniente dalla P.r.C. (People’s Republic of China) ma ovviamente potrebbe essere stato uno stratagemma per rallentare le indagini.

Inizialmente non si sapeva esattamente cosa era stato sottratto dai sistemi informatici della RSA i giornali più distratti hanno reso noto il furto dell’algoritmo, ma essendo pubblico dal 2000 è facile rubarlo 🙂 piuttosto è possibile sia stata trafugata una Master Key. Infine non dimentichiamoci che la RSA Security non produce esclusivamente SecurID il furto potrebbe riguardare tutt’altro anche un semplice database con l’archivio dei clienti.
Ed è stato proprio Whitfield Diffie ad ipotizzare il furto della Master Key ossia una stringa molto grande, utilizzata come parte integrante dell’algoritmo presente nei server di Authentication Manager. Attraverso la Master Key nei peggiori dei casi l’attaccante riesce a riprodurre dei Tokens gemelli a quelli originali, rendendo così più facile l’accesso ad un sistema informatico protetto.

La notizia più recente è del 7 Giugno, la RSA ha annunciato attraverso un comunicato stampa la sostituzione di  40 milioni di Token SecurID a causa dell’attacco informatico subito a Marzo 2011, questa ammissione avvalora ancora di più la tesi che sia stata trafugata una Master Key ed è pertanto necessario sostituire i token in distribuzione per assicurare la sicurezza dei propri clienti.

Questo avvenimento che ha colpito una delle più imponenti aziende di Sicurezza Informatica ci insegna che non dobbiamo mai abbassare la guardia nemmeno da una eMail inviataci dall’amico di infanzia e soprattutto apportare una corretta politica di IT Security all’interno delle aziende includendo nei corsi tutte le persone che quotidianamente usano un terminale e addestrarli ad evitare un attacco di Ingegneria Sociale che è sicuramente il sistema più diffuso per rubare informazioni importanti.